跳到主要內容

solaris 10 密碼原則

一、記錄歷史密碼功能

它會記錄使用者使用過的密碼,最多可以記錄26組。
如果啟用這個功能後,在變更密碼時將不允許重複之前已使用過的密碼。

編輯/etc/default/passwd,將HISTORY前的註解#移除,並且給予一個大於零的值如下,
HISTORY=5  --> 表示記錄曾使用過的五組密碼

例子:
$ passwd
passwd: Changing password for keven
Enter existing login password:
New Password:
passwd: Password in history list.  -->提示新密碼已被使用過


被記錄的密碼放在/etc/security/passhistory,每行的最前面是帳號,後面使用過的加密密碼,
以「:」來區分各組密碼
# cat /etc/security/passhistory
keven:30mTqC53LX0Fg:YpysbwM605wh6:


二、限制密碼錯誤次數的功能

編輯 /etc/security/policy.conf,將LOCK_AFTER_RETRIES的值設定為YES,並將註解#字移除以啟用功能。
編輯/etc/default/login,設定RETRIES的值並將註解#移除,限制密碼最多輸入幾次錯誤,便將帳號鎖住。

另外在/etc/default/login中還有一個SYSLOG_FAILED_LOGINS,是設定幾次登入錯誤後才會送訊息給syslog,
如果設成0,則每次的錯誤都會送訊息給syslog。

使用者在登入失敗後,/etc/shadow中密碼那一欄的最前面會被加上*LK*,即表示這個帳號被鎖住了,如下:
test01:*LK*gRTCELbBZ4Bko:16170::::::6

可以使用passwd -u <USER_NAME>來解開被鎖住的帳號,或者是手動把/etc/shadow裡的*LK*移除就可以了。
# passwd -u test01
passwd: password information changed for test01

這個功能是全域設定,也就是一旦啟用,所有的帳號都適用,如果想排除針對其中一個帳號,
則可以編輯/etc/user_attr並且加入<USER_NAME>::::lock_after_retries=no,例如:
test01::::lock_after_retries=no


三、密碼最小長度

編輯/etc/default/passwd,修改參數PASSLENGTH的值,例如改為最小長度為8
PASSLENGTH=8

以帳號test01來測試
$ passwd
passwd: Changing password for test01
Enter existing login password:
New Password:  --> 輸入 root123
passwd: Password too short - must be at least 8 characters.
會提示輸入的密碼太短了。


四、設定帳號到期天數

以test01為例,先執行下列指令
# usermod -f 6 test 01
# passwd -n 1 -x 2 -w 3 test01

參數說明:

usermod
-f 密碼到期後寬限天數

passwd
-n 限制密碼變更相隔天數
-x 密碼到期天數
-w 密碼過期前警告天數


接著可以觀察/etc/shadow中test01的設定
test01:$1$1jgzqgOq$AZrtLDm9oSyFrm0.ugLZC.:16170:1:2:3:6::

格式:name:password:last_change_date:min:max:warn:inactive:expire_date:none
格式說明:Login_Name:Password:更改密碼的最後時間:限制密碼變更相隔天數:密碼到期天數:
          密碼過期前警告天數:密碼到期後寬限天數:失效日期:保留欄位

各欄位說明

Login_Name:
這是使用者名稱,與另一個帳號檔/etc/passwd相應

Password:
使用者加密後的密碼

更改密碼的最後時間:
單位是日,由1970/1/1開始起算天數。
例如 (1970/1/1) + 16170 = (2014/4/10),表示test01最後在2014/4/10變更過密碼

限制密碼變更相隔天數:
例如1表示密碼隨時更改後必須經過一天才能再更改。

密碼到期天數:
變更密碼多少天後就必須要設定新密碼,否則這個帳號將會失效。
例如上面的2,表示密碼2天後會到期。

密碼過期前警告天數:
系統預設值是7天,上面的3表示密碼到期日3天前會提示更換密碼

密碼到期後寬限天數:
例如6,代表密碼過期後6天,帳號就會失效。

失效日期:
帳號會在指定日期之後失效。
一樣是以1970/1/1來計算天數,如:(2014/4/10) - (1970/1/1) = 16170

保留欄位:
最後一個欄位是保留的。

留言

這個網誌中的熱門文章

Line如何換行

在電腦版的Line輸入文字時,遇到需要換行的情形時,我都是用記事本先寫好再複製上去,這樣就可以有換行的效果,可是這樣的做法好像失去Line的便利性。 於是查了一下,原來有一個設定可以指定Enter換行,而不是發訊息出去。 完成設定之後,要發送訊息就改用Alt+Enter,而Enter就可以換行了。

在Windows下,利用tasklist與taskkill來刪除Process

Windows7 / Windows8 kill process Linux下要刪除某個程序通常會使用 ps 配合 kill 來刪除程序。 例如:ps -ef |grep [PROCESS NAME]       kill -9 [PID] 在Windows下,通常是開啟工作管理員來強制結束應用程式,但是如果要寫成Script,就必須改為命令式。 TASKLIST [/S system [/U username [/P [password]]]]          [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]           TASKKILL [/S system [/U username [/P [password]]]]          { [/FI filter] [/PID processid | /IM imagename] } [/T] [/F]           (Tasklist:查詢Process ; Taskkill:刪除Process)           例如要刪除已開啟的記事本(notepad): 1、查詢記事本的Process訊息     C:\> tasklist |find /i "notepad.exe"     notepad.exe      6092 Console     1     5,832 K 2、由上得知記事本的PID為6092     C:\> taskkill /f /PID 6092     成功:處理程序 PID 6092 已經終止了。     taskkill使用的參數     /f:指定此參數可強制終止處理程序     /PID:指定要終止之處理程序的 PID      3、也可以直接以程式名稱刪除     C:\ taskkill /f /im notepad.exe     成功:處理程序 "notepad.exe" <PID 6092> 已經終止了      下面是我自己測試的Script,可以刪除多個相同的程式,例如同時開啟了三個記事本: @echo off for /f &quo

Win 10 工作排程無法執行bat批次檔

利用Win 10的工作排程器來設定每日自動執行的批次檔,單獨執行批次檔沒問題,但是放在排程上就是無法執行。 後來試了幾種網路上提供的方式,其注意的事項如下: 1、在「安全性選項」選擇「只有使用者登入時才執行」並取消「以最高權限執行」。 2、在「設定」中選擇「Windows 10」 3、批次檔內的執行檔需以完整的路徑執行,或設定PATH路徑。 3、批次檔中如果帶有中文的路徑,則文字編碼類型必需是ANSI碼,       我的批次檔一開始就是UTF-8碼,但是單獨執行沒有問題,排程上就是有問題,       最後在批次檔中加入暫停指令pause才發現的。 4、如果想選擇「不論使用者登入與否均執行」,則在「設定」必須選擇「Windows Server 2003、Windows XP或Windows 2000」,    但是上述的選項只有在新增工作程程時才會出現,原有的工作排程是不會有此選項